Recientemente, la Agencia Española de Protección de Datos, “AEPD” en adelante, ha tomado una decisión relevante al imponer una multa de 50.000 euros a una importante empresa del sector de la salud. Esta sanción se deriva de la falta de anonimización adecuada de los datos en un informe relacionado con un caso de hostigamiento laboral, lo que pone de relieve la creciente importancia de la protección de datos en el entorno empresarial y las implicaciones que surgen cuando no se cumplen las normativas establecidas.
El expediente N.º EXP202315571, que da origen a esta multa, se inició tras una denuncia que señalaba que la empresa no había tomado las medidas necesarias para proteger la información personal de los implicados en el informe. La AEPD determinó que los datos no habían sido adecuadamente anonimizados, exponiendo así la identidad de los afectados y vulnerando sus derechos fundamentales a la privacidad y protección de datos. Este tipo de situaciones son especialmente delicadas, ya que involucran la dignidad y la integridad de los empleados en un contexto laboral.
El marco legal que regula la protección de datos en España incluye el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). En particular, el RGPD establece en su artículo 5 los principios que deben regir el tratamiento de datos personales. Entre estos principios, se encuentran la minimización de datos y la seguridad, que son fundamentales en este caso. El artículo 5.1 f) establece que:
- “Los datos personales serán:
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”
En este contexto, la AEPD concluyó que la empresa de prevención estaba incumpliendo tanto el artículo 5.1 f) como el artículo 32 del RGPD al no implementar las medidas necesarias para garantizar la anonimización de los datos. Concretamente, dicha empresa remitió un correo electrónico a la parte reclamante con una copia del Informe final de mediación laboral y sus anexos en el que figuraban sus datos personales y los de los denunciados, como nombre y apellidos, DNI, número de móvil y correo electrónico.
Por su parte, la entidad reconoció en su contestación al traslado haber enviado el mencionado correo electrónico, pero solo a su personal técnico y a las partes intervinientes en el proceso de mediación laboral, estando obligadas las mismas a guardar secreto y garantizar la confidencialidad de los mismos.
Resulta por tanto evidente que la empresa, en el informe emitido expuso indebidamente determinados datos personales de, entre otros, la parte reclamante y los denunciados, al no aparecer anonimizados sus DNI, números de móvil o correos electrónicos en el envío realizado. Ello supone una vulneración de la obligación de la entidad reclamada de garantizar la confidencialidad de los datos, poniendo en conocimiento de las partes intervinientes los datos personales anteriormente citados.
Asimismo, la documentación que obra en el expediente administrativo ofrece indicios suficientes para entender que la entidad protagonista carece de las medidas técnicas y organizativas apropiadas a las que se refiere el artículo referenciado.
La falta de anonimización efectiva, expone la información personal de los empleados y, en este caso específico, supuso una pérdida de confidencialidad de los datos personales de todos aquellos que denunciaron el hostigamiento.
Por otra parte, el artículo 32 del RGPD, que trata sobre la seguridad del tratamiento, establece que el responsable del tratamiento deberá aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, lo que incluye, entre otros, la seudonimización y el cifrado de datos personales. En el presente caso, el envío del Informe final de mediación laboral y sus anexos mediante correo sin anonimizar los datos de los intervinientes evidencia una falta de medidas por parte de la entidad. Al no cumplir con estas exigencias, la empresa de prevención no solo vulneró el RGPD, sino que también comprometió la confianza de sus empleados en el manejo de información sensible. Señala la AEPD que el DNI, se considera particularmente sensible en tanto en cuanto, si el tratamiento de este dato no va acompañado de las medidas técnicas y organizativas necesarias para garantizar que quien se identifica con él es realmente su titular, un tercero puede suplantar la identidad de una persona física con los riesgos que ello entraña para la privacidad, el honor y el patrimonio del suplantado.
La multa de 50.000 euros, aunque es significativa, no es la única consecuencia de esta decisión. La AEPD, al sancionar, envía un mensaje claro al sector empresarial sobre la necesidad de adoptar prácticas responsables en el tratamiento de datos. Este tipo de decisiones no solo promueven el cumplimiento de la normativa, sino que también fomentan una cultura de responsabilidad y respeto hacia la privacidad de los empleados.
La gestión inadecuada de los datos puede afectar gravemente la confianza de los empleados y de los clientes en la empresa. Por ello, es esencial que cualquier entidad revise sus políticas de protección de datos y adopte medidas correctivas que garanticen el cumplimiento normativo. Esto incluye la capacitación continua del personal sobre la importancia de la protección de datos, así como la implementación de protocolos claros y efectivos para el manejo de información sensible.
La AEPD, en su papel de regulador, no solo se encarga de sancionar a quienes incumplen las leyes, sino que también tiene la responsabilidad de educar y guiar a las organizaciones sobre las mejores prácticas en la gestión de datos.
A medida que la digitalización avanza y se crean nuevos desafíos en la gestión de la información, la protección de datos seguirá siendo un tema relevante. Las empresas deben adaptarse continuamente a las regulaciones en constante evolución y ser proactivas en la adopción de medidas que garanticen la seguridad y la privacidad de los datos. La inversión en tecnologías de seguridad y en la formación de los empleados no solo ayuda a cumplir con las normativas, sino que también contribuye a la creación de una cultura organizativa que valore y respete la privacidad.
Para finalizar y sacar puntos en clave, cabe decir que la multa impuesta en este caso por la AEPD resalta la crucial importancia de la protección de datos en el entorno laboral y la responsabilidad de las empresas en su gestión. Las organizaciones deben asumir el compromiso de garantizar que la información personal se maneje de manera adecuada y en cumplimiento con la normativa vigente. La protección de datos no es solo una obligación legal; es un componente esencial de la ética empresarial que contribuye a generar confianza y credibilidad en el mercado.
Para saber más sobre protección de datos y relaciones laborales pincha aquí https://www.prodat.es/blog/proteccion-de-datos-y-relaciones-laborales-parte-i-legitimacion-y-seleccion-de-personal/
Escrito por: Jorge Rico
